Cyberthreat.id – Tim keamanan Facebook mengungkap identitas asli APT32, salah satu grup peretas yang diduga mendapatkan dukungan negara, yang diyakini terkait pemerintah Vietnam.

“Penyelidikan kami mengaitkan aktivitas tersebut dengan CyberOne Group, sebuah perusahaan TI di Vietnam,” kata Kepala Kebijakan Keamanan Facebook, Nathaniel Gleicher dan Manajer Intelijern Ancaman Siber Mike Dvilyanski, seperti dikutip dari ZDNet, Jumat (11 Desember 2020).

CyberOne Group juga dikenal sebagai CyberOne Security, CyberOne Technologies, Hanh Tinh Company Limited, Planet, dan Diacauso.

Sejauh ini belum ada tanggapan dari CyberOne terkait tudingan tersebut.

Menurut Gleicher dan Dvilyanski, APT32 beroperasi di Facebook dengan membuat akun dan halaman untuk persona fiktif, biasanya menyamar sebagai aktivis atau entitas bisnis.

Grup tersebut seringkali membagikan tautan ke berbagai domain yang mereka retas atau operasikan sendiri.

Tautan tersebut, menurut mereka, biasanya mengarah ke phishing atau malware, bahkan menyertakan tautan ke aplikasi Android yang diunggah ke Google Play Store resmi yang memungkinkan dipakai untuk spionase korban.

Berdasarkan temuannya, Facebook mengatakan grup tersebut menargetkan entitas seperti:

• aktivis hak asasi manusia Vietnam di dalam dan luar negeri
• pemerintah asing, termasuk yang ada di Laos dan Kamboja
• organisasi non-pemerintah
• kantor berita, dan
• bisnis di seluruh teknologi informasi, perhotelan, pertanian dan komoditas, rumah sakit, ritel, industri otomotif, dan layanan seluler.

Facebook mengatakan bahwa selain menghapus akun dan halaman grup, mereka juga memblokir domain grup tersebut, sehingga tidak dapat digunakan kembali meski dengan akun baru yang mungkin disiapkan APT32 di masa mendatang.

Jejaring sosial juga membagikan kaidah YARA dan tanda tangan malware, sehingga jejaring sosial dan perusahaan keamanan lain juga dapat mengambil tindakan dan melindungi penggunanya. YARA adalah alat yang digunakan dalam riset dan deteksi malware.

OceanLotus

Diyakini sudah mulai beroperasi pada 2014, grup APT32 ini juga sering disebut dengan OceanLotus.

Operasi masa lalunya yang terlacak terjadi pada produsen mobil pada 2019. Demi mendukung startup otomotif Vietnam yang didanai negara, VinFast, grup tersebut menyerang dan mencuri data dari perusahaan sejeni, sebut saja BMW, Hyundai, Toyota Australia, Toyota Jepang, dan bahkan Toyota Vietnam.

Ketika pandemi virus corona, APT32 juga kembali fokus mengumpulkan data Covid-19, bahkan menyasar pejabat pemerintah di Wuhan, China mencari informasi tentang penyakit tersebut.

Mereka menggunakan banyak senjata dalam menyerang korban, mulai rekayasa sosial, drive-by downloads, celah Microsoft Office, malware khusus, penyalahgunaan alat sumber terbuka, exploit publik, dan malware macOS.[]